Permissões de aplicativos corporativos para funções personalizadas no Microsoft Entra ID
Este artigo contém as permissões de aplicativo empresarial atualmente disponíveis para definições de função personalizadas no Microsoft Entra ID. Neste artigo, você encontrará listas de permissões para alguns cenários comuns e a lista completa de permissões de aplicativos corporativos.
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, consulte Comparação de recursos geralmente disponíveis do Microsoft Entra ID.
Permissões de aplicativos corporativos
Para obter mais informações sobre como usar essas permissões, consulte Atribuir funções personalizadas para gerenciar aplicativos corporativos
Atribuindo usuários ou grupos a um aplicativo
Para delegar a atribuição de usuários e grupos que podem acessar aplicativos de logon único baseados em SAML. Permissões necessárias
- microsoft.directory/servicePrincipals/appRoleAssignedTo/update
Criando aplicativos de galeria
Delegar a criação de aplicações Microsoft Entra Gallery como ServiceNow, F5, Salesforce, entre outras. Permissões necessárias:
- microsoft.directory/applicationTemplates/instanciar
Configurando URLs SAML básicas
Para delegar a atualização e a leitura de configurações básicas de SAML para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/servicePrincipals/autenticação/atualizar
- microsoft.directory/applications.myOrganization/authentication/update
Renovação ou criação de certificados de assinatura digital
Para delegar o gerenciamento de certificados de assinatura para aplicativos de logon único baseados em SAML. Permissões necessárias.
microsoft.directory/servicePrincipals/credentials/update
Atualizar o endereço de e-mail para a notificação de expiração do certificado de acesso
Para delegar a atualização de endereços de e-mail de notificação de certificados de entrada expirando para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applications.myOrganization/authentication/update
- microsoft.directory/applications.myOrganization/permissions/update
- microsoft.directory/servicePrincipals/authentication/update
- microsoft.directory/servicePrincipals/básico/atualizar
Gerenciar assinatura de token SAML e algoritmo de entrada
Para delegar a atualização da assinatura do token SAML e do algoritmo de autenticação para aplicações de logon único baseadas em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/atualizar
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/servicePrincipals/policies/update
Gerenciar atributos e declarações do usuário
Para delegar a criação, exclusão e atualização de atributos de usuário e declarações para aplicativos de logon único baseados em SAML. Permissões necessárias:
- microsoft.directory/applicationPolicies/basic/update
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/servicePrincipals/policies/update
Permissões de provisionamento de aplicativos
A realização de qualquer operação de escrita, como gerir tarefas, esquemas ou credenciais através da interface do utilizador, também exigirá permissões de leitura para visualizar a página de provisionamento.
Definir o escopo para todos os usuários e grupos ou usuários e grupos atribuídos atualmente requer as permissões synchronizationJob e synchronizationCredentials.
Ativar ou reiniciar trabalhos de provisionamento
Para delegar a capacidade de ligar, desligar e reiniciar tarefas de aprovisionamento. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar
Configurar o esquema de provisionamento
Para delegar atualizações ao mapeamento de atributos. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationSchema/manage
Ler as configurações de provisionamento associadas ao objeto do aplicativo
Para delegar a capacidade de ler as configurações de provisionamento associadas ao objeto. Permissões necessárias:
- microsoft.directory/aplicativos/sincronização/padrão/leitura
Ler as configurações de provisionamento associadas à sua entidade de serviço
Para delegar a habilidade de ler as configurações de provisionamento associadas ao seu principal de serviço. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronization/standard/read
Autorizar o acesso ao aplicativo para provisionamento
Para delegar a capacidade de autorizar o acesso à aplicação para efeitos de provisionamento. Exemplo de token portador Oauth. Permissões necessárias:
- microsoft.directory/servicePrincipals/synchronizationCredentials/gerenciar
Permissões de Proxy de Aplicativo
A execução de quaisquer operações de gravação nas propriedades do Proxy de Aplicação do aplicativo também requer permissões para atualizar as propriedades básicas do aplicativo e a sua autenticação.
Para ler e executar quaisquer operações de gravação nas propriedades do Proxy de Aplicativo do aplicativo, requer também permissões de leitura para exibir grupos de conectores, visto que faz parte da lista de propriedades mostradas na página.
Delegar gerenciamento de conector de Proxy de Aplicativo
Para delegar ações de criação, leitura, atualização e exclusão para gerenciamento de conectores. Permissões necessárias:
- microsoft.directory/connectorGroups/allProperties/read
- microsoft.directory/connectorGroups/allProperties/update
- microsoft.directory/connectorGroups/create
- microsoft.directory/connectorGroups/delete
- microsoft.directory/connectors/allProperties/read
- microsoft.directory/conectores/criar
Delegar a gestão das definições do Proxy de Aplicação
Para delegar ações de criação, leitura, atualização e exclusão para propriedades do Proxy de Aplicações num aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/read
- microsoft.directory/applications/applicationProxy/update
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/applicationProxyUrlSettings/update
- diretório.microsoft/aplicações/básico/atualizar
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/connectorGroups/allProperties/read
Ler definições de proxy de aplicação para uma aplicação
Para delegar permissões de leitura para propriedades de Proxy de Aplicativo em um aplicativo. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/ler
- microsoft.directory/connectorGroups/allProperties/read
Atualizar configurações de URL de Proxy de Aplicativo para um aplicativo
Para delegar permissões de criação, leitura, atualização e exclusão (CRUD) para atualizar a URL externa do Proxy de Aplicativo, a URL interna e as propriedades do certificado SSL. Permissões necessárias:
- microsoft.directory/applications/applicationProxy/ler
- microsoft.directory/connectorGroups/allProperties/read
- [No changes necessary; translation remains the same as original.]
- microsoft.directory/aplicativos/autenticação/atualização
- microsoft.directory/applications/applicationProxyAuthentication/update
- microsoft.directory/applications/applicationProxySslCertificate/update
- microsoft.directory/applications/configuraçõesUrlDoProxyDaAplicação/atualizar
Lista completa de permissões
| Permissão | Descrição |
|---|---|
| microsoft.directory/applicationPolicies/allProperties/read | Leia todas as propriedades (incluindo propriedades privilegiadas) em políticas de aplicativo |
| microsoft.directory/applicationPolicies/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em políticas de aplicativo |
| microsoft.directory/applicationPolicies/basic/update | Atualizar propriedades padrão de políticas de aplicativos |
| microsoft.directory/applicationPolicies/create | Criar políticas de aplicativo |
| microsoft.directory/applicationPolicies/createAsOwner | Crie políticas de aplicativo e o criador é adicionado como o primeiro proprietário |
| microsoft.directory/applicationPolicies/excluir | Excluir políticas de aplicativo |
| microsoft.directory/applicationPolicies/owners/read | Leia os proprietários sobre as políticas do aplicativo |
| microsoft.directory/policiesDeAplicação/proprietários/atualizar | Atualizar a propriedade do proprietário das políticas do aplicativo |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Ler políticas de aplicativos aplicadas à lista de objetos |
| microsoft.directory/applicationPolicies/standard/read | Leia as propriedades padrão das políticas de aplicativos |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Criar e excluir entidades de serviço e ler e atualizar todas as propriedades |
| microsoft.directory/servicePrincipals/allProperties/read | Leia todas as propriedades (incluindo propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/allProperties/update | Atualizar todas as propriedades (incluindo propriedades privilegiadas) em servicePrincipals |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Ler atribuições de funções do principal de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Atualizar atribuições das funções do principal de serviço |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Ler atribuições de função atribuídas a entidades de serviço |
| microsoft.directory/servicePrincipals/público/atualizar | Atualizar propriedades de audiência em entidades de serviço |
| microsoft.directory/servicePrincipals/authentication/update | Atualizar propriedades de autenticação em entidades de serviço |
| microsoft.directory/principaisDeServiço/básico/atualizar | Atualizar propriedades básicas nos principais de serviço |
| microsoft.diretório/principaisServiços/criar | Criar entidades de serviço |
| microsoft.directory/servicePrincipals/createAsOwner | Crie entidades de serviço, com o criador como o primeiro proprietário |
| microsoft.directory/servicePrincipals/credentials/update | Atualizar credenciais de entidades de serviço |
| microsoft.directory/servicePrincipals/excluir | Excluir entidades de serviço |
| microsoft.directory/servicePrincipals/disable | Desativar principais de serviço |
| microsoft.directory/servicePrincipals/enable | Habilitar entidades de serviço |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Ler credenciais de logon único de senha em entidades de serviço |
| microsoft.directory/principaisDeServiço/gerenciarCredenciaisDeSenhaDeSignOnÚnico | Gerenciar credenciais de logon único de senha em entidades de serviço |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/ler | Ler concessões de permissão delegada em entidades de serviço |
| microsoft.directory/servicePrincipals/owners/read | Ver os proprietários das entidades de serviço |
| microsoft.directory/servicePrincipals/owners/update | Atualizar proprietários de entidades de serviço |
| microsoft.directory/servicePrincipals/permissions/update | Atualizar permissões de entidades de serviço |
| microsoft.directory/servicePrincipals/policies/read | Ler políticas de entidades de serviço |
| microsoft.directory/servicePrincipals/policies/update | Atualizar políticas de entidades de serviço |
| microsoft.directory/servicePrincipals/standard/read | Ler propriedades básicas de entidades de serviço |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas à sua entidade de serviço |
| microsoft.directory/servicePrincipals/tag/update | Atualizar a propriedade tag para entidades de serviço |
| microsoft.directory/applicationTemplates/instanciar | Instanciar aplicativos de galeria a partir de modelos de aplicativo |
| microsoft.directory/auditLogs/allProperties/read | Leia todas as propriedades nos registos de auditoria, incluindo propriedades com privilégios |
| microsoft.directory/signInReports/allProperties/read | Leia todas as propriedades em relatórios de entrada, incluindo propriedades privilegiadas |
| microsoft.directory/applications/applicationProxy/ler | Leia todas as propriedades de proxy de aplicativo |
| microsoft.directory/applications/applicationProxy/update | Atualizar todas as propriedades de proxy de aplicativo |
| microsoft.directory/aplicacoes/autenticacaoProxyAplicacao/atualizar | Atualizar a autenticação em todos os tipos de aplicativos |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Atualizar configurações de URL para proxy de aplicativo |
| microsoft.directory/applications/applicationProxySslCertificate/update | Atualizar configurações de certificado SSL para proxy de aplicativo |
| microsoft.directory/aplicativos/sincronização/padrão/leitura | Ler as configurações de provisionamento associadas ao objeto do aplicativo |
| microsoft.directory/connectorGroups/create | Criar grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/delete | Excluir grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/read | Leia todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/connectorGroups/allProperties/update | Atualizar todas as propriedades de grupos de conectores de rede privada |
| microsoft.directory/conectores/criar | Criar conectores de rede privada |
| microsoft.directory/connectors/allProperties/read | Leia todas as propriedades dos conectores de rede privada |
| microsoft.directory/servicePrincipals/synchronizationJobs/gerenciar | Iniciar, reiniciar e pausar trabalhos de sincronização de provisionamento de aplicativos |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Ler as configurações de provisionamento associadas ao seu principal de serviço |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Criar e gerir trabalhos de sincronização e esquemas de provisionamento de aplicativos. |
| microsoft.directory/provisioningLogs/allProperties/read | Ler todas as propriedades de registos de provisionamento |